米国企業改革法(SOX法)に対応する米国企業の動き(2) | ScanNetSecurity
2024.05.09(木)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

米国企業改革法(SOX法)に対応する米国企業の動き(2)

5月末に実施したSOX法に係わる訪米調査の結果を、6月のコラムに引き続き報告します。6月のコラムで取上げた訪米調査のサマリも参照されるようお願いします。

特集 特集
5月末に実施したSOX法に係わる訪米調査の結果を、6月のコラムに引き続き報告します。6月のコラムで取上げた訪米調査のサマリも参照されるようお願いします。

7月のコラムには、日本版SOX法とも言うべき金融商品取引法が7月に成立したため、急遽日本版SOX法をとりあげました。

1.経済犯罪に厳しい評決

SOX法制定の引き金にもなったエンロン社の元幹部の有罪が決まりました。5月25日、正に訪米最中にケネスレイ元会長が証券詐欺等で、ジェフリ・スキリング元CEOがインサイダ取引等で有罪との評決がくだされ、大々的に報道されていました。米国の法律では複数の量刑が累積加算されるため、ケネスレイ元会長が47年、ジェフリ・スキリング元CEOが185年の量刑の評決があったようです。また元CFO(財務担当重役)は既に禁固10年で確定済みであり、ワールドコムの不正会計では既にバーナード・エバース元CEOに禁固25年の刑が下っています。さらにシティグループやJPモルガン・チェースなどエンロンの経営実態を正しく伝えなかった大手金融機関が投資家に対して72億ドルを支払うことで和解しています。いずれにしても、重大な経済犯罪には、重罪が課せられる時代になってきたといえます。

2.SOX法への対応費用の行方

404条対応(有効な内部統制構築)に費用がかかりすぎたといわれています。大企業では2004年度対応で10億円以上かけたところもあったようですが、平均的には5億円近くのコストをかけました。2年目は10%程度減ったと伝えられていますが、依然として多額の費用を要しています。その中にあって、監査費用が極めて小さい例として、日曜大工販売のHome Depoがあげられています。Home Depoでは、ビジネスプロセスが単一であるうえ、そのプロセスが中央集権化されているうえ、自動化が進んでいるためとしています。<KPMGより>

SOX対応コストの内訳を見ると、外部コンサル(法律事務所、会計事務所)及び監査稼動に多額の費用が費やされていることがわかります(図参照)。2年目は、外部コンサル費用は減少したものの、内部稼動は依然として高い水準にあります。次年度以降自動化を含むIT投資の検討が始まると、今後IT投資が伸びてくることが想定されます。事実米国では、SOXの議論は財務からITの議論に移ってきているようです。

3.SOXに対する新たな動き

法の遵守にかかる企業のコスト負担が大きく、経済界に規制の行き過ぎを指摘する声があがており、証券取引委員会(SEC)や公開企業会計監査委員会(PCAOB)でもガイドラインを示すなど新たな動きを見せております。

SEC、PCAOBはSOX法適用後、種々のガイドライン等を出しておりますが、法律の運用が固まってくるのには、まだ時間がかかりそうです。以下には、OECD、PCAOBのSOX法適用に当たっての動向を示しています。

(1)ガイドラインの提示:SOX対応改善策(2005年5月)
(A)経営者と監査人が、合理的な判断を行使して、「紋切り型の積み上げ式のチェックボックスアプローチ」ではなく「トップダウン型の、リスク重視のアプローチ」を採用し、不要の作業を回避
(B)財務諸表監査と内部統制監査を効果的に統合させることによるコストの大幅削減
(C)財務報告に係る内部統制は、企業の性質及び規模を反映するものでなければならず,特に小規模の企業については,新たなガイダンスの策定をCOSOに対して要求
(D)経営者、監査人及び監査委員会が頻繁かつ率直に対話することは、内部統制及び財務報告の改善という目標の実現のために重要であり、経営者が内部統制の構築を経営者自身の意思決定で行う限り、監査人の独立性規定違反とはならない。

(2)SOX対象企業の見直し提案と撤回 
SEC小規模公開企業問題諮問委員会では、小規模な企業に対するSOX法適用の緩和を提案(2006年4月)しましたが、内部統制報告制度見直しラウンドテーブル(2006年5月10日)で、SEC委員の反対によりこの緩和案が撤回されましたが、小規模企業に向けては新たなSOX対応ガイドラインが示されていくようです。

<撤回された見直し案>
(1)最小規模企業(Microcap companies)への適用緩和
時価総額1.28億ドル以下、かつ、直近事業年度の売上高1.25億ドル以下<市場規模1%、会社数では50%> →302条の適用のみで、404条は全面的に適用除外

(2)小規模企業(Smallcap Companies)
時価総額1.28億ドル乃至7.87億ドル、かつ、直近事業年度の売上高1千万ドル以下<市場規模5%、会社数では30%> →302条の適用と404条のうち、経営者による評価のみで、監査人の監査を免除

<撤回の背景>
・中小企業ほど、内部統制に脆弱性があり、内部統制報告制度の必要性が認められる。
・SECは、中小企業向けの適用のための新たなガイダンスの公表する。

■次回の予定

次回は第3弾として、SOX対応企業の監査を手がけた大手監査法人の報告や金融機関の動きを中心に説明します。

東京大学 国際・産学共同研究センター
客員教授 林 誠一郎
E-Mail:hayashi@ccr.u-tokyo.ac.jp

NTTデータ・セキュリティ | セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
セミナーのおしらせ
IT統制環境の構築方法と内部漏洩対策セミナーVol.2<大阪>
http://www.nttdata-sec.co.jp/news/20060913.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

JPRS、PowerDNS Recursor の DoS 攻撃が可能になる脆弱性に注意喚起 画像

JPRS、PowerDNS Recursor の DoS 攻撃が可能になる脆弱性に注意喚起
データスコープ社製の顔認証カメラに脆弱性 画像

データスコープ社製の顔認証カメラに脆弱性
Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性 画像

Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性
TvRock にサービス運用妨害(DoS)と CSRF の脆弱性 画像

TvRock にサービス運用妨害(DoS)と CSRF の脆弱性
NETGEAR 製ルータにバッファオーバーフローの脆弱性 画像

NETGEAR 製ルータにバッファオーバーフローの脆弱性
RoamWiFi R10 に複数の脆弱性 画像

RoamWiFi R10 に複数の脆弱性

インシデント・事故 記事一覧へ

法人間決済サービスの UPSIDER で利用可能枠やメールアドレス情報が記載されたメール誤送信 画像

法人間決済サービスの UPSIDER で利用可能枠やメールアドレス情報が記載されたメール誤送信
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分 画像

護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に 画像

「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に
メディキットホームページに不正アクセス、閲覧障害に 画像

メディキットホームページに不正アクセス、閲覧障害に
セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性 画像

セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ 画像

ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

調査・レポート・白書・ガイドライン 記事一覧へ

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」 画像

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」
ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表 画像

ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表
社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査 画像

社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査
国立国会図書館 調査及び立法考査局「令和 6 年能登半島地震への対応」総括、ソーシャルメディアの功罪も 画像

国立国会図書館 調査及び立法考査局「令和 6 年能登半島地震への対応」総括、ソーシャルメディアの功罪も
「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢 画像

「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢
日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版 画像

日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

研修・セミナー・カンファレンス 記事一覧へ

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説 画像

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説
ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向 画像

ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感 画像

SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催 画像

トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催
札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料 画像

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談 画像

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

製品・サービス・業界動向 記事一覧へ

経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視 画像

経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視
外務省、偽情報の拡散を含む情報操作への対応を公表 画像

外務省、偽情報の拡散を含む情報操作への対応を公表
「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応 画像

「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応
KELA、生成 AI セキュリティソリューション「AiFort」提供開始 画像

KELA、生成 AI セキュリティソリューション「AiFort」提供開始
NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供 画像

NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供
脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供 画像

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×